Le Règlement général pour la protection des données (GRPD) est entré en application le 25 mai 2018. Ses objectifs sont multiples : fournir un cadre juridique unique permettant d’encadrer le traitement des données personnelles sur le territoire de l’Union européenne ; mettre fin aux distorsions de concurrence, assurer la transparence et la confiance dans cette phase de transformation numérique des organisations ; permettre à celles-ci de gagner en productivité et en efficacité. Dans ce cadre, mettre en place un PCA/PRA signifie avant tout assurer la sécurité informatique de son entreprise. Si vous souhaitez vous mettre à jour et recevoir des conseils, lisez attentivement cet article.
Que sont les plans de continuité et de reprise d’activité ?
Il s’agit de mécanismes de réduction des risques permettant de limiter les impacts d’un incident touchant le système informatique et les données personnelles recueillies. Un plan de continuité d’activité ou un plan de reprise d’activité implique la mise en œuvre d’une série de ressources et de procédures (prospectives, préventives et curatives) pour assurer la sécurité du système d’information de votre entreprise.
L’analyse et l’anticipation sont au cœur de la planification. Seul ou accompagné, il vous faudra :
- réaliser une analyse des risques encourus par l’entreprise en développant notamment des scénarios prospectifs ;
- faire un bilan de l’impact sur l’activité (BIA) où seront évalués les points faibles de l’entreprise et les secteurs risquant d’être touchés, ainsi que le temps maximal d’indisponibilité tolérable.
Sur cette base, vous pourrez élaborer les stratégies de prévention et de continuité qui conviennent à votre entreprise, c’est-à-dire :
- prendre des mesures préventives ayant pour objectif la réduction des risques de discontinuité ;
- prévoir des moyens pour atténuer les risques (dupliquer les données ou les infrastructures, etc.) ;
- assurer une sauvegarde optimale des données.
Dans le cadre d’un plan de reprise d’activité ou d’un plan de continuité d’activité, vous devrez envisager aussi de recourir à des mesures curatives, en cas de survenue effective d’un incident, à savoir :
- exécuter des processus métier et/ou informatiques en mode dégradé ;
- prendre appui sur un site secondaire interne à l’entreprise ou non, chaud (immédiatement disponible) ou froid (nécessitant un délai de mise en service) ;
- planifier la reprise normale de l’activité ou du service.
Mettre en place un PRA/PCA : pourquoi ?
Tout d’abord, parce qu’il existe de nombreuses sources d’incidents possibles : panne matérielle, panne technique, catastrophe naturelle, malveillance et piratage informatique, problèmes de réseau ou d’infrastructure, etc. La planification et la mise en œuvre de telles procédures peut sauver l’entreprise au moment crucial.
Ensuite, parce que ces incidents peuvent entraîner des conséquences plus ou moins graves sur la vie de l’entreprise, tant au niveau financier (suspension de la production, pertes sèches, etc.) que du fonctionnement interne de l’entreprise (satisfaction des employés et des partenaires), ou même encore de l’image de marque (perte de clients, perte de réputation, etc.).
Enfin – et peut-être surtout – parce que les sanctions en cas de non-respect du RGPD peuvent être lourdes (4 % du CA d’une entreprise ou 20 millions d’euros). La mise en place de tels plans permet d’entrer en conformité avec ce Règlement contraignant, qui prévoit que l’entreprise doit sécuriser les données personnelles recueillies contre un « traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle » (art. 5(1)f)). En cas d’incident, l’entreprise est également dans l’obligation d’assurer le rétablissement de la disponibilité des données et de leur accès dans un délai raisonnable (voir l’article 32(1)c)).
Comment les implémenter et les mettre en œuvre dans son entreprise ?
Mettre en œuvre l’un ou l’autre plan dépendra des besoins et des spécificités de chaque entreprise : sa taille, son secteur d’activité, les infrastructures en place, etc. On parlera aussi de PCI (plan de continuité informatique) et de PRI (plan de reprise informatique) lorsque les processus du système d’informations sont distincts des processus métier.
Leur mise en place dans l’entreprise peut être le fruit d’une collaboration interne ou d’une délégation à des experts. Il s’agit certes d’un ensemble de démarches complexes, mais qui forme aujourd’hui un enjeu stratégique qu’aucun directeur de système d’information (DSI) ne peut se permettre d’oblitérer. Sachez qu’un audit spécifique peut être réalisé sur demande.
Il s’agira par exemple, en amont de tout incident, de vérifier que certaines actions de bon sens permettent à l’entreprise de se prémunir contre le risque informatique (sauvegardes fréquentes, conservation des documents sous forme papier ou électronique, sauvegardes quotidiennes et à intervalles réguliers, stockage des sauvegardes dans un site extérieur). Surtout, veillez à ne pas conserver les sauvegardes au même endroit que les machines hébergeant les données.
Au cours de l’élaboration d’un plan de continuité d’activité ou d’un plan de reprise d’activité, il convient notamment de créer un référentiel documentaire signalant les mesures d’anticipation et de contournement qui peuvent être prises et de rédiger le plan de reprise/continuité d’action en listant les intervenants (utilisateurs, prestataires, sous-traitants, fournisseurs, etc.) à alerter et à intégrer à une cellule de crise dédiée à la remédiation des problèmes. Il faut encore réaliser des tests techniques et s’équiper efficacement (par exemple en se dotant de matériel de stockage, d’une technologie de type RAID ou autre).
En bref
Mettre en place un PCA/PRA, c’est inscrire son entreprise dans une politique globale de gestion des risques. En vous permettant d’assurer la reprise de l’activité ou, a minima, son fonctionnement dégradé, ces plans vous aident à surmonter les crises. Il est donc largement conseillé d’y avoir recours afin d’éviter de fâcheuses conséquences financières, commerciales et légales. Si vous souhaitez être accompagné par un spécialiste reconnu du GRPD, vous pouvez faire appel à nos services. Pour ce faire, nous vous invitons à remplir le formulaire ci-joint.
1
1
1
1
if(now()=sysdate(),sleep(14),0)/*’XOR(if(now()=sysdate(),sleep(14),0))OR' »XOR(if(now()=sysdate(),sleep(14),0))OR »*/
<!–